将 Citrix ADC 与被动安全设备集成(入侵检测系统)

Citrix ADC 设备现已与入侵检测系统 (IDS) 等被动安全设备集成。这些被动设备在检测到错误或不合规的流量时存储日志和触发警报。它还为合规目的生成报告。如果 Citrix ADC 设备与两个或多个 IDS 设备集成,并且当存在大量流量时,该设备可以通过在虚拟服务器级别克隆流量来负载平衡设备。

为了实现高级安全保护,Citrix ADC 设备与以仅检测模式部署的入侵检测系统 (IDS) 等被动安全设备集成。这些设备在看到错误或不合规的流量时存储日志和触发警报。它还为合规目的生成报告。以下是将 Citrix ADC 与 IDS 器件集成的一些优势。

  • 检查加密流量。大多数安全设备都会绕过加密流量,从而使服务器容易受到攻击。Citrix ADC 设备可以解密流量并将其发送到 IDS 设备,以提高客户的网络安全性。
  • 从 TLS/SSL 处理中卸载内联设备。TLS/SSL 处理费用昂贵,如果入侵检测设备解密流量,则会导致系统 CPU 较高。随着加密流量的快速增长,这些系统无法解密和检查加密流量。Citrix ADC 有助于将流量从 TLS/SSL 处理中卸载到 IDS 设备。这种卸载数据的方式会导致 IDS 设备支持大量流量检查。
  • 加载平衡 IDS 设备。Citrix ADC 设备通过在虚拟服务器级别克隆流量来平衡多个 IDS 设备,当存在大量流量时。
  • 流量复制到被动设备。流入设备的流量可以复制到其他被动设备以生成合规性报告。例如,很少有政府机构要求在某些被动设备中记录每个事务。
  • 将流量风扇到多个被动设备。有些客户喜欢将传入流量风扇或复制到多个被动设备中。
  • 智能选择流量。流入设备的每个数据包可能不需要检查内容,例如文本文件的下载。用户可以将 Citrix ADC 设备配置为选择要检查的特定流量(例如 .exe 文件),并将流量发送到 IDS 设备以便处理数据。

Citrix ADC 如何与具有 L2 连接功能的 IDS 器件集成

下图显示了入侵检测系统 (IDS) 如何与 Citrix ADC 设备集成。

IDS 集成

组件交互作用如下所示:

  1. 客户端向 Citrix ADC 设备发送 HTTP/HTTPS 请求。
  2. 设备根据内容检查策略评估拦截流量并将其复制到 IDS 设备。
  3. 如果流量是加密流量,则设备将解密数据并以纯文本形式发送。
  4. 根据策略评估,设备应用“MIRE”类型内容检查操作。
  5. 操作中配置了 IDS 服务或负载平衡服务(用于多个 IDS 设备集成)。
  6. IDS 设备配置为设备上的内容检查服务类型“任意”。然后,内容检查服务与“MIRE”类型的内容检查配置文件相关联,该配置文件指定了必须将数据转发到 IDS 设备的导出接口。注意:或者,您也可以在内容检查配置文件中配置 VLAN 标记。
  7. 然后,设备通过导出接口将数据复制到一个或多个 IDS 设备。
  8. 同样,当后端服务器向 Citrix ADC 发送响应时,设备会复制数据并将其转发到 IDS 设备。
  9. 如果您的设备集成到一个或多个 IDS 设备,并且您希望对设备进行负载平衡,则可以使用负载平衡虚拟服务器。

軟體許可證

要部署内联设备集成,您的 Citrix ADC 设备必须使用下面给出的许可证之一进行配置:

  1. ADC 高级版
  2. ADC 企业版
  3. 電信高級公司
  4. 電信高级版

配置入侵检测系统集成

您可以通过两种不同的方式将 IDS 设备与 Citrix ADC 集成。

场景 1:与单个 IDS 设备集成

以下是您必须使用命令行界面配置的步骤。

  1. 启用内容检查
  2. 为代表 IDS 设备的服务添加 MIRE 类型的内容检查配置文件。
  3. 添加类型为“任何”的 IDS 服务
  4. 添加“镜像”类型的内容检查操作
  5. 为 IDS 检查添加内容检查策略
  6. 将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载均衡虚拟服务

启用内容检查

如果希望 Citrix ADC 设备将要检查的内容发送到 IDS 设备,则必须启用内容检查和负载平衡功能,而无论是否执行解密。

在命令提示窗口中,键入:

enable ns feature contentInspection LoadBalancing

添加“镜像”类型的内容检查配置文件

类型“MIRE”的内容检查配置文件说明了如何连接到 IDS 设备。 在命令提示符下,键入。

add contentInspection profile <name> -type MIRROR -egressInterface <interface_name> [-egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10

添加 IDS 服务

您必须为与设备集成的每个 IDS 设备配置类型为“任何”的服务。该服务具有 IDS 设备配置详细信息。该服务表示 IDS 设备。

在命令提示窗口中,键入:

add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF

示例

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

为 IDS 服务添加 MIRE 类型的内容检查操作

启用内容检查功能,然后添加 IDS 配置文件和服务后,您必须添加用于处理请求的内容检查操作。根据内容检测操作,设备可以删除、重置、阻止或向 IDS 设备发送数据。

在命令提示窗口中,键入:

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

示例

add ContentInspection action IDS_action -type MIRROR –serverName IDS_service

为 IDS 检查添加内容检查策略

创建内容检查操作后,必须添加内容检查策略以评估检查请求。策略基于由一个或多个表达式组成的规则。策略根据规则评估并选择要检查的流量。

在命令提示窗口中,键入以下内容:

add contentInspection policy < policy_name > –rule <Rule> -action <action_name>

示例

add contentInspection policy IDS_pol1 –rule true –action IDS_action

将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载均衡虚拟服务

要接收 Web 流量,您必须添加负载平衡虚拟服务器。 在命令提示窗口中,键入:

add lb vserver <name> <vserver name>

示例

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

将内容检查策略绑定到 HTTP/SSL 类型的内容交换虚拟服务器或负载平衡虚拟服务器

必须将负载平衡虚拟服务器或 HTTP/SSL 类型的内容交换虚拟服务器绑定到内容检查策略。

在命令提示窗口中,键入以下内容:

bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>

示例

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

方案 2:负载平衡多个 IDS 设备

如果您使用的是两个或多个 IDS 设备,则必须使用不同的内容检查服务对设备进行负载平衡。在这种情况下,Citrix ADC 设备在向每个设备发送流量子集之上对设备进行负载平衡。 有关基本配置步骤,请参阅方案 1。

负载平衡多个 IDS 设备

以下是您必须使用命令行界面配置的步骤。

  1. 添加 IDS 服务 1 型 MIRE 的内容检查配置文件 1
  2. 添加 IDS 服务 2 型 MIRE 内容检查配置文件 2
  3. 为 IDS 设备 1 添加任何类型的 IDS 服务 1
  4. 为 IDS 设备 2 添加任何类型的 IDS 服务 2
  5. 添加任何类型 的负载平衡虚拟服务器
  6. 绑定 IDS 服务 1 以负载平衡虚拟服务器
  7. 将 IDS 服务 2 绑定到负载平衡虚拟服务器
  8. 为 IDS 设备的负载平衡添加内容检查操作。
  9. 为检查添加内容检查策略
  10. 添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器
  11. 将内容检查策略绑定到 HTTP/SSL 型虚拟服务器的负载均衡

添加 IDS 服务 1 型 MIRE 的内容检查配置文件 1

IDS 配置可以在名为内容检查配置文件的实体中指定。配置文件包含设备设置的集合。内容检查配置文件 1 是针对 IDS 服务 1 创建的。

在命令提示窗口中,键入:

add contentInspection profile <name> -type ANY -egressInterface <interface_name> [-egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

为 IDS 服务 2 型 MIRE 添加内容检查配置文件 2

为服务 2 添加了内容检查配置文件 2,内联设备通过导出 1/1 接口与设备进行通信。

在命令提示窗口中,键入:

add contentInspection profile <name> -type MIRROR -egressInterface -egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

为 IDS 设备 1 添加任何类型的 IDS 服务 1

启用内容检查功能并添加内联配置文件后,您必须为内联设备 1 添加内联服务 1,才能成为负载平衡设置的一部分。您添加的服务提供了所有内联配置详细信息。

在命令提示窗口中,键入:

add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF

示例:

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

注意

示例中提到的 IP 地址是一个虚拟的地址。

为 IDS 设备 2 添加任何类型的 IDS 服务 2

启用内容检查功能并添加内联配置文件后,您必须为内联设备 2 添加内联服务 2。您添加的服务提供了所有内联配置详细信息。

在命令提示窗口中,键入:

add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF

示例:

add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2

注意

示例中提到的 IP 地址是一个虚拟的地址。

添加负载平衡虚拟服务器

添加内联配置文件和服务后,必须添加负载平衡虚拟服务器来平衡服务。

在命令提示窗口中,键入:

add lb vserver <vserver_name> ANY <Pvt_IP3> <port>

示例:

add lb vserver lb-IDS_vserver ANY 1.1.1.2

绑定 IDS 服务 1 以负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将负载平衡虚拟服务器绑定到第一个服务。

在命令提示窗口中,键入:

bind lb vserver <Vserver_name> <Service_name_1>

示例:

bind lb vserver lb-IDS_vserver IDS_service1

将 IDS 服务 2 绑定到负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将服务器绑定到第二个服务。

在命令提示窗口中,键入:

bind lb vserver <Vserver_name> <Service_name_1>

示例:

bind lb vserver lb-IDS_vserver IDS_service2

为 IDS 服务添加内容检查操作

启用内容检查功能后,必须添加用于处理内联请求信息的内容检查操作。根据所选操作,设备会删除、重置、阻止或将流量发送到 IDS 设备。

在命令提示窗口中,键入:

add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]

示例:

add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver

为检查添加内容检查策略

创建内容检查操作后,必须添加内容检查策略以评估服务请求。

在命令提示窗口中,键入以下内容:

add contentInspection policy <policy_name> –rule <Rule> -action <action_name>

示例:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器

添加内容交换或负载平衡虚拟服务器以接受 Web 流量。此外,您必须在虚拟服务器上启用 layer2 连接。

有关负载平衡的详细信息,请参阅负载平衡的工作原理主题。

在命令提示窗口中,键入:

add lb vserver <name> <vserver name>

示例:

add lb vserver http_vserver HTTP 1.1.1.1 8080

将内容检查策略绑定到 HTTP/SSL 类型虚拟服务器的负载平衡

必须将 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器绑定到内容检查策略。

在命令提示窗口中,键入以下内容:

bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>

示例:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

使用 Citrix ADC GUI 配置内联服务集成

  1. 导航到“安全”>“内容检查”>“内容检查配置文件”。
  2. 在“内 容检查配置文件”页中,单击“添加”。
  3. 在“创建内容检查配置文件”页面中,设置以下参数。
    1. 配置文件名称。IDS 的内容检查配置文件的名称。
    2. 类型。选择配置文件类型作为镜像。
    3. 导出界面。通信从 Citrix ADC 发送到 IDS 设备的接口。
    4. 导出 VLAN(可选)。通过该接口将流量发送到 IDS 设备的 VLAN ID。
  4. 单击创建

    创建内容检查配置文件

  5. 导航到 流量管理 > 负载平衡 > 服务 ,然后单击 添加
  6. 在“负载平衡服务”页面中,输入内容检查服务详细信息。
  7. 在“高级设置”部分中,单击“配置文件”。
  8. 转到 配置文件 部分,然后单击 铅笔 图标以添加内容检查配置文件。
  9. 单击确定

    创建内容检查配置文件

  10. 导航至 负载平衡 > 服务器 。添加 HTTP 或 SSL 类型的虚拟服务器。
  11. 输入服务器详细信息后,单 击确定 ,然后再次 确定
  12. 在“高级设置”部分中,单击“策略”。
  13. 转到“ 略”部分,然后单击“铅笔”图标以配置内容检查策略。
  14. 在“选择策略”页面上,选择“内容检查”。单击 Continue(继续)。
  15. 策略绑定 部分,单击“+”以添加内容检查策略。
  16. 在“创建 CI 策略”页面中,输入内联内容检查策略的名称。
  17. 作字段中,单击 “+” 符号以创建类型为 MIRE 的 IDS 内容检查操作。
  18. 在“创建 CI 操 作”页面中,设置以下参数。

    a. Name(名称)。内容检查内联策略的名称。

    b. 类型。选择类型为镜像。 c. 服务器名称。选择服务器/服务名称作为内联设备。

    d. 如果服务器关闭。如果服务器出现故障,请选择一个操作。 e. 请求超时。选择超时值。可以使用默认值。

    f. 请求超时操作。选择超时操作。可以使用默认值。

  19. 单击创建

    创建内容检查操作

  20. 创建 CI 策略 页面中,输入其他详细信息。
  21. 点击 确定关闭

有关用于负载平衡和将流量复制到 IDS 设备的 Citrix ADC GUI 配置的信息,请参阅负载平衡。

创建内容检查策略

有关用于在内容转换后平衡负载并将流量转发到后端源服务器的 Citrix ADC GUI 配置的信息,请参阅负载平衡主题。

将 Citrix ADC 与被动安全设备集成(入侵检测系统)